워너크라이(WannaCry) 랜섬웨어 감염 사례
랜섬웨어는 지난 10년간 높은 감염성을 보여 왔으며, 이제는 전 세계를 대상으로 하는 사이버 위협으로 자리 잡았다.
미국 정부의 통계에 따르면 2005년부터 랜섬웨어 공격 건은 온라인 데이터 침해 건을 앞질렀으며, 사이버보안 최고의 문제로 부상하였다.
이전까지의 랜섬웨어 공격 규모는 세계가 주목할 수준은 아니었다.
하지만 최근 발생한 워너크라이 사태는 전 세계인들의 이목을 랜섬웨어로 집중시키는 계기가 되었다.
워너크라이 랜섬웨어는 영국의 국민건강보험공단(NHS)을 비롯한 세계 주요 공공 기관들을 감염시켰으며, 동시에 전 세계 30만대 이상의 컴퓨터들을 감염시키면서, 전 세계를 떠들썩하게 만들었다.
워너크라이 사건은 전 세계가 랜섬웨어를 주목하게 만든 사건이며, 동시에 앞으로 다가올 위협 예측에 있어서, 의미하는 바가 큰 사건이었다.
랜섬웨어를 배포하는 악성코드는 날로 정교해져가며 배포 방법 또한 효율적인 방법으로 발전 하고 있다.
이러한 흐름을 바탕으로 가까운 미래에 더욱 심각한 랜섬웨어 공격이 발생할 수 있다고 예측하는 것은 어려운 일이 아닐 것이다.
~~ 첨부파일 참고
■ 용어정리
o 랜섬웨어
컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류이다.
컴퓨터 및 데이터로의 접근 제한을 없애려면 해당 악성 프로그램 개발자에게 비용 지불을 강요받게 된다.
이때 데이터가 암호화되는 랜섬웨어가 있는 반면, 어떤 것은 시스템을 잠그고 사용자가 지불하게 만들기 위한 안내 문구를 띄운다.
최근 전 세계적인 랜섬웨어를 통한 대량해킹은 인터넷 세계의 사이버 아마겟돈으로 불리어진다.
o 워너크라이 (Wannacry), 워너크립트 (WannaCrypt)
2017년 5월 12일부터 등장한 랜섬웨어 멀웨어 툴이다.
2017년 5월 12일부터 대규모 사이버 공격을 통해 널리 배포되었으며, 전 세계 99개국의 컴퓨터 12만대 이상을 감염시켰다. 감염된 컴퓨터로는 20개의 언어로 비트코인을 지급하면 풀어주겠다는 메시지를 띄웠다.
o RSA 암호
공개키 암호시스템의 하나로, 암호화뿐만 아니라 전자서명이 가능한 최초의 알고리즘으로 알려져 있다.
1978년 로널드 라이베스트(Ron Rivest), 아디 샤미르(Adi Shamir), 레너드 애들먼(Leonard Adleman)의 연구에 의해 체계화되었으며, RSA라는 이름은 이들 3명의 이름 앞 글자를 딴 것이다.
RSA가 갖는 전자서명기능은 인증을 요구하는 전자 상거래 등에 광범위하게 활용되었다.
o AES (Advanced Encryption Standard) 암호
2001년 미국 표준 기술 연구소(NIST)에 의해 제정된 암호화 방식이다.
AES는 두 명의 벨기에 암호학자인 존 대먼과 빈센트 라이먼에 의해 개발된 Rijndael(레인달) 에 기반하며 AES 공모전에서 선정되었다.
o 비트코인
비트코인은 블록체인 기술을 기반으로 만들어진 온라인 가상화폐이다.
비트코인의 화폐 단위는 BTC로 표시한다. 2008년 10월 나카모토라는 가명을 쓰는 익명의 개발자 또는 그룹이 개발하여, 2009년 1월 프로그램 소스를 배포했다.
중앙은행이 없이 전 세계적 범위에서 P2P 방식으로 개인들 간에 자유롭게 송금등의 금융거래를 할 수 있게 설계되어 있다.
o 드라이브 바이 다운로드 (Drive-by Download)
사용자가 웹사이트에 방문하는 자체만으로도 사용자 모르게 악성코드가 다운로드 되는 사이버 공격 방법 가운데 하나이다.
o CVE 취약점
CVE(Common Vulnerabilities and Exposure)는 공개적으로 알려진 소프트웨어의 보안취약점을 가리키는 고유 표기를 뜻한다.
o MD5 해쉬
MD5(Message-Digest Algorithm 5)는 128비트 암호화 해시 함수이다.
RFC1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용된다.
1991년에 로널드 라이베스트가 예전에 쓰이던 MD4를 대체하기 위해 고안했다.
o SHA 해쉬
SHA(Secure Hash Algorithm, 안전한 해시 알고리즘) 함수들은 서로 관련된 암호학적 해시 함수들의 모음이다.
이들 함수는 미국 국가안보국(NSA)이 1993년에 처음으로 설계했으며 미국 국가 표준으로 지정되었다.
o 멀버타이징 (Malvertising)
멀버타이징(Malvertising)은 Malicious Advertising의 줄임말로 온라인 광고를 통해 악성코드(Malware)를 유포시키는 행위를 일컫는 신조어이다.
방문자가 많은 사이트의 배너 광고 등에 여러 가지 교묘한 방법을 통해 악성코드 설치를 유도하는 것으로 일반 사용자는 믿을 수 있는 사이트의 광고 또한 안전하다고 인식하는 심리적 맹점을 이용한 방식이다.
o 사용자 계정 컨트롤 (User Account Control)
마이크로소프트의 윈도우 비스타 운영 체제에서 처음 선보인 보안 기술이다.
특정 어플리케이션이 실행될 때 관리자 권한을 필요로 하는 경우 이를 허용할지 여부를 사용자에게 묻는 보안 기술이다.
o 침해지표(IOC)
여러 침해사고의 흔적들을 일정한 포맷으로 정리해 놓은 문서 또는 파일을 의미한다.
o SMB(Server Message Block)
서버 메시지 블록(Server Message Block, SMB)은 도스나 윈도우에서 파일이나 디렉터리 및 주변 장치들을 공유하는데 사용되는 메시지 형식이다.
NetBIOS는 SMB 형식에 기반을 두고 있으며, 많은 네트워크 제품들도 SMB를 사용한다.
이러한 SMB 기반의 네트워크에는 랜매니저, 윈도우 포 워크그룹(Windows for Workgroups), 윈도우 NT, 그리고 랜 서버(Lan Server) 등이 있다.
서로 다른 운영 체제 사이에 파일을 공유할 수 있도록 하기 위해 SMB를 사용하는 제품들도 많이 있다.
그 중 하나가 삼바인데, 유닉스와 윈도우 컴퓨터들 간에 디렉터리와 파일을 공유할 수 있게 해 준다.
o 아티팩트(Artifacts)
디지털 포렌식이나 침해사고 분석 관점에서의 아티팩트는 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 의미한다.
가령 사용자가 시스템에 로그온 했을 때 그 결과로 작성되는 시스템 로그 파일 따위가 이에 속한다.
o Tor
온라인상에서의 익명을 보장하고 검열을 피할 수 있게 해주는 자유 소프트웨어로 미국 해군 연구소에서 최초로 시작하여 현재는 EFF 프로젝트에서 관리되고 있다.
EFF는 2005년 11월까지 Tor를 재정적으로 지원하였고, 현재도 웹 호스팅을 지원하고 있다.
o YARA Rule
YARA는 악성코드 샘플에 포함된 패턴을 이용해 특성과 행위를 기준으로 악성 파일을 분류하는데 사용되는 도구이다.
YARA가 악성코드를 식별하기 위해 사용 되는 Rule을 YARA Rule이라고 한다.
o 킬스위치(Killswitch)
킬 스위치는 특정 제품이나 소프트웨어의 동작을 중지시키는 장치를 의미한다.
가령 라인센스 기간이 만료된 소프트웨어의 경우 킬스위치가 동작하여 해당 소프트웨어의 동작을 멈출 수 있는 것을 예로 들 수 있다.
ISMS, ISO27001 GDPR,PCI-DSS 컨설팅
랜섬웨어 대응 솔루션(EDR, CDR) 공급
070-7867-3721, ismsbok@gmail.com
070-7867-3721, ismsbok@gmail.com
댓글 없음:
댓글 쓰기